Frage zu Heimnetzwerkkonfiguration + VPN

Hallo Gemeinde,

bevor ich meine geplante Netzwrkkonfiguration in die praktische Tat umsetze, wollte ich von Euch kurz checken lassen, ob meine theoretische Planung korrekt ist.

Ausgangssituation:
Z.z. greifen alle Clients im Haushalt über einen Speedport W724V TypB aufs Internet zu.

Vorhaben:
Ich möchte, dass sämtlicher Datenverkehr der Clients nur noch über VPN abgehandelt wird. Dazu wird ein Linksys WRT3200acm Router angeschafft und auf OpenWRT, DD WRT oder Tomato geflasht um VPN-Client-Funktionalität herzustellen.
Der Speedport dient nur noch dazu, die Internetverbindung herzustellen und für Telefonie.

Planung:
Speedport behält die IP 192.168.178.1, WLAN und DHCP wird abgeschalten, Linksys-Router wird einziges Gerät mit Zugriff.

Linksys wird über WAN-Port mit einem LAN-Port des Speedport verbunden. Bekommt statische IP 192.168.178.100, VPN-Zugang wird eingerichtet (DNS des VPN, Killswitch usw.), DHCP bleibt aus.

Alle Clients bekommen statische IP's ab xxx.xxx.xxx.101, DNS und Gateway ist die Linksys-IP.

Fragen:
Ist meine Planung soweit korrekt und umsetzbar? Muss ich noch andere Einstellungen im Speedport vornehmen, wie z.B. diesen Telekom-Datenschutz, steht z.Z. auf 2, abschalten?

Das Problem ist, das Du dann eine Rounter Kaskade hast. Clients an Speetport können nicht mit den Clients des Wrt tomato kommunizieren. Der Sinn erschliesst sich mir nicht.

Soll das ne Machbarkeitsstudie werden oder wieso macht man sowas? Ansonsten: Ja, das könnte so gehen. Deine Frage zum Telekom-Datenschutz (???) kann ich nicht beantworten. Was soll das sein?

Am Speedport hängen keine Clients, er soll quasi nur noch als "Modem" dienen.

Am Linksys nicht den WAN sondern den LAN Anschluss verwenden. Damit macht nur der Speedport NAT. Dann sollte das eigentlich klappen. DHCP scheinst ja eh nicht nutzen zu wollen.
Der Speedport lässt sich mit aktueller Firmware nicht als reines Modem konfigurieren. Außerdem hättest Du dann auch die Telefoniefunktion verloren.

ja das wird schon gehen, ist halt doppeltes NAT ... am Besten is wenn du den Speedport als Modem nutzen könntest, oder zumindest als Exposed Host.

@DonConto:

Machbarkeitsstudie? - Ich will lediglich im vornherein abklären, ob alles korrekt ist, damit ich bei der praktischen Umsetzung so wenig Zeit wie möglich opfern muss.

Mit deinem angestrebten Setup manövrierst du dich damit unter Umständen in eine unschöne Situation: Internetseiten bzw. -dienste, die VPN-IPs blockieren.

Netflix und Co gehen immer häufiger dazu über, bekannte VPN-Anbieter zu sperren. Auch Online-Shops können Bestellungen über VPNs ablehnen - hatte ich bisher zwar nur ein einziges Mal, aber aus einem Mal können auch viele Male werden... Online-Banking mag das auch nicht unbedingt. Hinzu kommt, dass man sich damit je nach Kapazität des VPN-Anbieters und der eigenen Internetbandbreite ohne Not die eigene Verbindung ins www kastriert. Doof, wenn man zB 100 Mbit/s DSL hat, der VPN-Anbieter aber nur 60 Mbit/s schafft...
Die Anonymität eines VPNs ist zudem weitestgehend Augenwischerei, da mindestens der VPN-Anbieter weiß wer wann was gemacht hat - egal ob die nu angeblich keine Logs führen.. Gerade Dienste, die eben ein durchaus berechtigtes Interesse an einer eindeutigen Identifizierung haben oder zumindest etwaige Verschleierungsversuche minimieren wollen, sperren die VPNs dann einfach, weil potentieller Missbrauch im Raume steht.

Wenn du nun zwangsweise jedes Gerät über das VPN schickst und von der Infrastruktur her auch keinen Weg drumherum vorsiehst, wirst du früher oder später vor einer "Du kommst hier net rein"-Seite stehen und dumm aus der Wäsche gucken, weil du irgendwo im VPN-Router erstmal das VPN abschalten musst oder das Kabel für den PC direkt an den Speedport klemmen musst - oh halt, du hattest ja feste IPs, also auch noch IP umstellen, etc., wirklich sehr komfortabel ... .. niiicht..


Ich rate daher stets zu einem anderen Setup:

Den VPN-Router als normalen LAN-Client ins Netzwerk des Internetrouters hängen, zB. mit der IP a.b.c.2 direkt hinterm Internetrouter. DHCP wahlweise auf dem Internet-Router oder dem VPN-Router - je nachdem welcher verwendet wird, ist das die Standard-Verbindung für DHCP-Geräte. Nun kann man zB am PC gezielt das Standard-Gateway zwischen .1 (Speedport) und .2 (VPN-Router) umschalten, je nach Bedarf.

Da es hier ja anscheinend Verwirrung gibt bezüglich deines Setup: Du willst also von deinen (W)LAN Clients im LAN ein VPN zu deinem LAN Router aufbauen, richtig? Falls ja, wieso macht man sowas?

Man beachte das der WRT3200acm nicht der schnellste ist wenn es um VPN geht. Wenn du also 100Mbit/s+ hast kann er bremsen.

DonConto schrieb:

Da es hier ja anscheinend Verwirrung gibt bezüglich deines Setup: Du willst also von deinen (W)LAN Clients im LAN ein VPN zu deinem LAN Router aufbauen, richtig? Falls ja, wieso macht man sowas?

Zum Vergrößern anklicken....

Nein, er möchte, dass alle Geräte, die am VPN-Router hängen, nur über dessen VPN ins Internet gehen. Der VPN-Router hat also zB eine Verbindung zu Cyberghost und wenn zB der Laptop am VPN-Router hängt, dann geht der Datenverkehr zum VPN-Router und der schickt das anschließend verschlüsselt durch den Internet-Router hindurch zum VPN-Anbieter, der die Daten dann an ihr eigentliches Ziel weiterleitet, zB computerbase.de.

So kann die Telekom nicht sehen was wie wo über den Internetanschluss gemacht wird, der VPN-Anbieter sieht hingegen alles. In der Theorie ist man dann halbwegs Anonym, in der Praxis kann das ganz anders aussehen. Die WAN-IP ist nicht die einzige Möglichkeit, einen Internetnutzer zu identifizieren. Cookies zum Beispiel..

@Rarijin:
Danke, das mit der "Umschaltmöglichkeit" wäre auch eine Idee. Aber ich geh davon aus, dass der VPN Router per Profile/Regeln so konfiguriert werden kann, dass die Verbindung für bestimmte Clients und für bestimmte Webseiten ohne VPN aufgebaut wird.

Und zum Thema Anonymität:
100% Anonymität gibts natürlich nicht. Man kann aber ein gewisses Höchstmaß erreichen, wenn einem an seiner Privatsphäre etwas liegt.

Wenn du dich mit Policy Based Routing auskennst, dann ja. Aber das ist eine ewige Fummelei, weil du im Prinzip für jede Seite eine Ausnahme erstellen bzw. eine Liste pflegen musst. Funktionieren wird das schon, aber ich persönlich halte von so einem Setup herzlich wenig. Ist aber letztendlich deine Entscheidung.

Wenn ich per VPN unterwegs bin und auf eine Seite stoße, die VPNs blockt, doppelklicke ich eine Batchdatei auf dem Desktop, die das Standardgateway von meinem VPN-Gateway (x.y.z.2) auf meinen Speedport (x.y.z.1) umschaltet oder andersherum. That's it. Kein Einloggen in das VPN-Gateway, keine Filterlisten, kein gar nichts, nur ein Doppelklick

Puh, ok, das könnte man auch einfacher erklären Wie auch immer, ich würde eher meinem Provider vertrauen als irgendeinem VPN Anbieter. Aber das muss jeder selbst wissen.

@Rsijin:
Ist natürlich sehr komfortabel deine Lösung. Werde ich nochmal überdenken.